regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sábado, 19 de outubro de 2013

Padrões de Interoperabilidade de Governo Eletrônico - 2014

A arquitetura e-PING – Padrões de Interoperabilidade de Governo Eletrônico – define um conjunto mínimo de premissas, políticas e especificações técnicas que regulamentam a utilização da Tecnologia de Informação e Comunicação (TIC) no governo federal, estabelecendo as condições de interação com os demais Poderes e esferas de governo e com a sociedade em geral.


A adoção dos padrões e políticas contidos na e-PING não pode ser imposta aos cidadãos e às diversas instâncias de governo, dentro e fora do país. O governo brasileiro, no entanto, estabelece essas especificações como o padrão por ele selecionado e aceito, ou seja, estes são os padrões em que deseja interoperar com as entidades fora do governo federal – Poder Executivo brasileiro. A adesão dessas entidades dar-se-á de forma voluntária e sem qualquer ingerência por parte da Coordenação da e-PING.

Para os órgãos do governo federal – Poder Executivo brasileiro a adoção dos padrões e políticas contidos na e-PING é obrigatória (Portaria SLTI/MP nº 5, de 14 de julho de 2005).

A iniciativa conta com a participação e a colaboração de uma série de órgãos do Poder Executivo Federal, tanto na gestão como na realização dos trabalhos técnicos de montagem da arquitetura. As áreas cobertas pela e-PING, estão segmentadas em:

Interconexão;
Segurança;
Meios de Acesso;
Organização e Intercâmbio de Informações;
Áreas de Integração para Governo Eletrônico.

A existência de uma infra-estrutura de Tecnologia da Informação e Comunicação (TIC) que se preste como o alicerce para a criação dos serviços de governo eletrônico é o pré-requisito para o fornecimento de melhores serviços à sociedade, a custos mais baixos. Um governo moderno e integrado exige sistemas igualmente modernos e integrados, interoperáveis, trabalhando de forma íntegra, segura e coerente em todo o setor público.

Políticas e especificações claramente definidas para interoperabilidade e gerenciamento de informações são fundamentais para propiciar a conexão do governo, tanto no âmbito interno como no contato com a sociedade e, em maior nível de abrangência, com o resto do mundo – outros governos e empresas atuantes no mercado mundial. A e-PING é concebida como uma estrutura básica para a estratégia de governo eletrônico, aplicada inicialmente ao governo federal – Poder Executivo. Permite racionalizar investimentos em TIC, por meio do compartilhamento, reuso e intercâmbio de recursos tecnológicos.

Os recursos de informação do governo constituem valiosos ativos econômicos. Ao garantir que a informação governamental possa ser rapidamente localizada e transmitida entre os setores público e privado, mantidas as obrigações de privacidade e segurança, o governo auxilia no aproveitamento máximo deste ativo, impulsionando e estimulando a economia do país.

Governos de todo o mundo estão investindo fortemente no desenvolvimento de políticas, processos e estabelecimento de padrões em TIC, montando estruturas dedicadas para obter a interoperabilidade buscando o provimento de serviços de melhor qualidade a custos reduzidos.





DOU  Nº 201, quarta-feira, 16 de outubro de 2013

SECRETARIA DE LOGÍSTICA E TECNOLOGIA
DA INFORMAÇÃO
AVISO DE CONSULTA PÚBLICA No- 5/2013


A SECRETÁRIA DE LOGÍSTICA E TECNOLOGIA DA INFORMAÇÃO, DO MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO, no uso de suas atribuições, consoante o disposto no Decreto nº 7.579, de 11 de outubro de 2011, e no Decreto de 18 de outubro de 2000, decidiu submeter a comentários públicos a proposta de Padrões de Interoperabilidade de Governo Eletrônico - e-PING, versão 2014.

Pretende-se, com a Consulta Pública, o recebimento de contribuições acerca de seu objeto para a consolidação da presente proposta.

As contribuições e sugestões fundamentadas e devidamente identificadas relativas a esta Consulta Pública devem ser encaminhadas por meio do formulário eletrônico disponível no endereço

http://www.eping.e.gov.br, de 0h00 do dia 21 de outubro até às 24h00 do dia 22 de novembro de 2013, ou por ou por meio do endereço de correio eletrônico eping@planejamento.gov.br.


Segurança em Web Services




Segurança em Web Services








Introdução

Construir Web Services seguros implica em entender as ameaças em que os serviços estão expostos e ter definido qual nível de segurança deve ser alcançado. A maneira mais eficaz de se implementar segurança em aplicações é estar em consonância com os princípios, padrões e práticas. Os impactos negativos de uma falha de segurança podem comprometer os dados confidênciais, ceder acesso não autorizado e até mesmo comprometer a reputação e confiabilidade da instituição que esta prestando o serviço.

Para prover aos sistemas que utilizam a tecnologia de Web Services as seguintes recomendações são apresentadas:

Segurança no nível de aplicação:

• Prover a cifração das mensagens trocadas entre as partes utilizando XML Encryption Syntax and Processing e Decryption Transform for XML Signature (XMLenc) conforme a Especificação Técnica do GT 2 - Segurança recomenda na Tabela 8 – Especificações para Segurança – Desenvolvimento de Sistemas.

• Prover a autenticação de chaves e o gerenciamento de certificados utilizando XML Key Management Specification (XKMS 2.0) conforme a Especificação Técnica do GT 2 - Segurança recomenda na Tabela 8 – Especificações para Segurança – Desenvolvimento de Sistemas.

• Prover a assinatura digital utilizando XML Signature Syntax and Processing (XMLsig) conforme a Especificação Técnica do GT 2 - Segurança recomenda na Tabela 8 – Especificações para Segurança – Desenvolvimento de Sistemas.

Segurança no nível de transporte:

• Prover a segurança utilizando o componente Transferência de Dados em Redes Inseguras conforme a Especificação Técnica do GT 2 - Segurança recomendada na Tabela 5 – Especificações para Segurança – Comunicação de dados.

Mínimo de segurança recomendado:

• O mínimo segurança exigido para troca de informações entre as aplicações que utilizem Web Services com os protocolos HTTP ou SMTP é a utilização de segurança no nível de aplicação utilizando o componente Transferência de Dados em Redes Inseguras conforme a Especificação Técnica do GT 2 - Segurança recomendada na Tabela 5 – Especificações para Segurança – Comunicação de dados.

Os servidores que provem serviços de Web Services deverão utilizar Certificado Digital da AC-raiz nos padrões da ICP-Brasil para que se possa garantir de autenticidade das informações trocadas entre as partes.

• Para serviços que necessitem de autenticação como usuário, senha ou qualquer outro mecanismo de autenticação, recomenda-se que tal informação seja transportada de forma criptografada na sessão de HEADER quando houver a utilização do protocolo de acesso SOAP.


Documento em Adobe Acrobat (.pdf) - 98 KB, 18/10/2013

Evento interessante:
Conferência Web W3C Brasil 2013 — Programa de Governo Eletrônico Brasileiro - Sítio Oficial  Novembro de 2013.

sexta-feira, 18 de outubro de 2013

Participe da pesquisa “Impacto social da certificação ICP-Brasil

Participe da pesquisa “Impacto social da certificação ICP-Brasil”

Participe da pesquisa 

“Impacto social da 

certificação ICP-Brasil”

O estudo está sendo produzido pelo ITI e 
pela Universidade Federal de Santa Catarina - UFSC
Data da publicação: 17/10/2013


O Instituto Nacional de Tecnologia da Informação – ITI convida todos os usuários do certificado digital no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil para participarem da pesquisa “Impacto socioeconômico da certificação ICP-Brasil”. O questionário servirá de subsídio para produção do Relatório de impacto socioeconômico da certificação digital no País.

O estudo está sendo produzido pelo ITI e pela Universidade Federal de Santa Catarina - UFSC, por meio do Núcleo de Estudos em Inovação, Gestão e Tecnologia da Informação – IGTI/UFSC. A parceria foi firmada através do Termo de Cooperação nº 02/2012. Já foram entrevistados diversos gestores de aplicações que utilizam a certificação digital, além de levantamento dos vários usos do certificado no Brasil, entre outras atividades da pesquisa.

A pesquisadora, Isabel Santos, destacou a importância do projeto. “A ICP-Brasil já tem 12 anos de operação, por isso, é essencial a produção desse relatório para que tenhamos a noção exata das mudanças que estão acontecendo no País por conta da certificação. Possuímos dados e estatísticas, mas precisamos de um estudo mais humanizado”, destacou Santos.

O questionário é composto por perguntas de múltipla escolha. O participante deverá responder de acordo com seu nível de concordância para cada um dos itens. É importante ressaltar que identidade de todos será mantida em sigilo. As respostas serão enviadas ao grupo de pesquisa IGTI da UFSC para elaboração de um relatório final. Para participar basta acessa o questionário no sítio do ITI.

O ITI agradece a colaboração de todos.

Participe agora! Clique neste Link

Fonte: ITI


Funcionário assusta mais que hacker, revela pesquisa




Funcionário assusta mais que hacker, revela pesquisa
18/10/2013 - Valor Econômico

As empresas brasileiras temem mais que funcionários mal-intencionados exponham dados sigilosos sobre suas operações do que o risco de um hacker invadir seus sistemas para roubar informações. 

O país foi o único de uma lista de sete em que o medo de um vazamento interno superou o temor das ameaças externas, de acordo com uma pesquisa feita pelo Instituto Ponemon, por encomenda da companhia francesa Thales e-security, braço de segurança digital da Thales, fornecedora de sistemas de defesa e segurança. O estudo ouviu mais de quatro mil profissionais de tecnologia da informação (TI) e segurança digital. No Brasil, foram 531 entrevistados.

De acordo com o levantamento, apenas 9% dos entrevistados no Brasil disseram que os hackers são uma grande ameaça, contra uma média de 14% no mundo. Os funcionários mal-intencionados representam uma ameaça para 14% dos brasileiros e 11% na média global. Com relação aos prestadores de serviço, um quinto dos brasileiros teme o vazamento de informações dessa forma, enquanto no mundo o percentual é de 9%.

Segundo Paulo Veloso, diretor da Thales e-security no Brasil, a desconfiança em relação aos funcionários tem justificativa: o índice de fraudes internas no país é 20 vezes maior que o dos Estados Unidos, por exemplo, enquanto os ataques por hackers ainda representam uma ameaça incipiente no país.

O estudo, cujos resultados foram antecipados ao Valor, mostra que tem crescido nas companhias brasileiras a preocupação em adotar técnicas para codificar os dados internos e evitar que eles sejam acessados por qualquer pessoa. A criptografia ganhou destaque nos últimos meses por conta das denúncias de espionagem a governos e empresas por parte de agências de inteligência dos Estados Unidos.

Para a maioria dos entrevistados brasileiros (41%), o principal motivador para o uso de criptografia é proteger a marca ou a reputação da empresa. A avaliação de Veloso é que as companhias não querem que a forma como são avaliadas pela sociedade seja afetada negativamente caso dados confidenciais sejam acessados de maneira indevida.

Segundo o levantamento, os investimentos em criptografia têm sido feitos de forma descentralizada, sem que um departamento específico comande as iniciativas. Esse é o cenário em quase metade das empresas (46%). Em apenas uma em cada quatro (24%) a área de TI é responsável por gerenciar os sistemas de criptografia. Para Veloso, isso gera riscos à segurança dos dados. "A chave de criptografia [padrão pelo qual as informações são codificadas] é um segredo que deve ser muito bem guardado. Caso contrário, qualquer um terá acesso às informações."

Essa descentralização pode ser a responsável pelo fato de a criptografia não ter um uso massivo em nenhuma área das empresas brasileiras. Quando perguntados sobre as aplicações da tecnologia em diferentes sistemas, os profissionais de TI disseram que não há um uso amplo desse recurso. As redes internas são o ambiente em que há um uso mais extensivo (uma em quatro empresas). Em seguida ficaram as bases de dados e redes externas (24% cada uma). O uso aumenta quando se fala na proteção de dados em dispositivos móveis. Quase metade dos entrevistados (45%) disse ter alguma iniciativa desse tipo.

Fonte: Valor Economico

quinta-feira, 17 de outubro de 2013

Certificação digital vai garantir a segurança de e-mails do governo federal

A partir do ano que vem, todos os funcionários do governo federal, inclusive a presidente Dilma Rousseff, terão que usar um certificado digital para acessar a conta de e-mail. 

Isso porque o sistema Expresso, em sua terceira versão, a V3, será universalizado para todos os ministérios, autarquias e fundações até o fim do primeiro semestre do ano que vem. A Petrobras também entrará na lista dos órgãos que passarão a usar o sistema de segurança eletrônica, que permite o uso de e-mails, calendário, mensagens instantâneas para chat e videoconferência.

"É um sistema totalmente desenvolvido em software livre, portanto conhecemos tudo o que acontece dentro desses códigos. E isso nos dá a garantia de que os códigos fazem aquilo a que se propõem, não tem nenhuma porta dos fundos fazendo outras coisas. E toda a infraestrutura é do Serpro, operado pelos técnicos do Serpro. Então temos a garantia de que o tráfego das informações que estarão circulando são altamente protegidas”, explicou o diretor-presidente do Serpro, Marcos Mazoni.

Segundo ele, o sistema é 99% à prova de invasão, pois na área da tecnologia da informação, nunca se pode falar em 100% de segurança. “Talvez tenha algum geniozinho de 14 anos de idade pensando em alguma coisa que nós ainda não pensamos”, disse. 

A presidenta Dilma Rousseff determinou a todos os órgãos do Governo Federal a adoção do Expresso V3, desenvolvido pelo Serpro (Serviço Federal de Processamento de Dados). A aplicação foi escolhida por garantir uma comunicação segura no governo, contando com criptografia e ambientes para tráfego e armazenamento próprios do Serpro. A determinação será publicada em um decreto nos próximos dias. Um cronograma será definido para que ministérios, autarquias, fundações e demais entes federais se adequem à nova norma até o segundo semestre de 2014.

Atualmente, 20% dos órgãos federais usam o sistema, entre eles os ministérios do Planejamento e da Fazenda. Os outros órgãos, inclusive parte da Presidência a República, usam sistemas como Microsoft e IBM para a troca de e-mails. As mensagens eletrônicas da presidenta Dilma Rousseff, por exemplo, são trocados pelo sistema Outlook, a Microsoft. O presidente do Serpro lembrou que os softwares desenvolvidos nos Estados Unidos obedecem à legislação daquele país, e permitem que as empresas possam acessar o conteúdo das mensagens.

Além da segurança, Mazoni aponta como vantagem para o uso do Expresso a diminuição do custo com as licenças necessárias para o uso dos softwares pagos. Segundo ele, para cada servidor federal, são gastos cerca de R$ 80 com licenças de programas privados de computadores. “Se levarmos em conta que temos cerca e 1,8 milhão de funcionários públicos, estamos falando de alguns milhões de reais em licenças que serão dispensados”, disse.

A universalização da implantação do e-mail seguro está sendo agilizada a pedido da presidente Dilma Rousseff, depois das denúncias de espionagem a mensagens telefônicas e eletrônicas de seu governo. Ontem (13), em mensagem na rede social Twitter, Dilma disse que determinou ao Serpro a implantação do sistema seguro de e-mails no governo federal. “Esta é a primeira medida para ampliar a privacidade e a inviolabilidade de mensagens oficiais. É preciso mais segurança nas mensagens para prevenir possível espionagem", disse a presidente em mensagens no microblog.

O governo também estuda a criação de um e-mail criptografado gratuito, que possa ser oferecido à população em geral. A ferramenta será desenvolvida pelo Serpro e oferecia pelos Correios.

Certificação
O Expresso V3 permite o uso de chaves e de certificados digitais que garantem a segurança no acesso ao e-mail e a certeza ao destinatário sobre a autenticidade do emissor. A certificação conta com técnicas de assinatura digital e criptografia que asseguram a integridade e a confidencialidade da mensagem. A aplicação também ganha em segurança por ser desenvolvida com inteligência nacional e com software livre, o que a torna auditável por qualquer cidadão – ao contrário de serviços de empresas que não preveem auditoria externa e cujos softwares podem conter códigos maliciosos de monitoração.

O Serpro possui redes, centros de dados e serviços de computação em nuvem exclusivos para órgãos federais, com toda sua infraestrutura instalada em solo brasileiro e submetida à legislação do país. O Expresso V3 vai operar em uma nuvem especializada em comunicação segura de governo, com tecnologias e regras que visam garantir a soberania nacional.

Recursos e funções
A ferramenta que será adotada por todo o governo é uma solução completa de comunicação com seis módulos: e-mail, catálogo de contatos, tarefas, calendário, mensagens instantâneas para chat e webconferência. A versão 3 do Expresso já é utilizada por mais de 10 mil empregados do Serpro e já começa a ser implantada no Ministério do Planejamento e na Presidência da República.

A webconferência e a webchamada são atrativos do Expresso. A webconferência garante o encontro de até 18 usuários em uma sala de reunião virtual com transmissão de vídeo e áudio. Por essas salas é possível trocar arquivos rapidamente e compartilhar a visão da tela de um computador específico, por exemplo, com uma apresentação de slides. A adoção da webconferência no V3 vai ao encontro da demanda crescente do governo por soluções de groupware, ou seja, por softwares que apoiem o trabalho em grupo.

Por que usar criptografia e nuvem própria?
Com a criptografia, as mensagens são transformadas em um emaranhado de caracteres ilegíveis enquanto trafegam até o destino final, isso impossibilita que terceiros possam ter acesso ao conteúdo do e-mail.

Os serviços de e-mail mais populares são oferecidos por companhias estrangeiras, que disponibilizam ou sublocam computadores conectados à internet (formando as estruturas de nuvem), mas distribuindo esses equipamentos em diferentes partes do mundo. Quando governos e empresas permitem que seus e-mails fiquem hospedados em sistemas fora das suas fronteiras, automaticamente se submetem às leis de outros países.

Software livre
O Expresso começou como uma customização da ferramenta eGroupWare, projeto colaborativo de código aberto que teve início na Alemanha, no ano 2000. Empresas brasileiras passaram a investir em customizações da ferramenta e a colaborar entre si em uma comunidade de profissionais interessados em melhorar o sistema. A versão 2 do Expresso disponibilizada por esse grupo atende a mais de 525 mil usuários, em 127 instituições, em diferentes países. O Serpro é um dos gestores dessa comunidade e, ao mesmo tempo em que investe continuamente em melhorias na versão oferecida ao governo, compartilha e troca conhecimento com o grupo de especialistas no software. A nova versão do Expresso, o V3, é baseado na tecnologia Tine 2.0, que é uma ramificação do eGroupWare.



15/10/2013 - 06h55 - Atualizada em 15/10/2013 - 06h57

Notícias Relacionadas
Dilma determina implantação de e-mail seguro para todo o governo

>> Lei também: Sua empresa também pode ter um e-mail seguro

quarta-feira, 16 de outubro de 2013

Atualização de Navegadores e Visualizadores de Arquivos ICP BRASIL


REPOSITÓRIO ITI

Para facilitar o uso do Certificado Digital ICP-Brasil, você encontra aqui um passo a passo de como baixar a cadeia de certificados da ICP-Brasil. Com esse repositório é possível atualizar os navegadores Mozilla Firefox e Microsoft Internet Explorer, além do Adobe Acrobat Reader. Baixe os arquivos e siga as instruções abaixo:

Atualização no Mozilla Firefox


Passo 1: Clique aqui ou acesse a URL:;. para baixar a cadeia v1

Passo 2: O browser disponibilizará opções para proceder a instalação;
Passo 3: clique no botão 'Ok';
Passo 4: Clique aqui ou acesse a URL:;. para baixar a cadeia v2

Obs.: Executar os passos 2 e 3 acima designados;
Passo 5: Clique aqui ou acesse a URL:;. para baixar a cadeia v3

Obs.: Executar os passos 2 e 3 acima designados;

Caso seja de seu interesse, verifique a integridade dos arquivos por meio do hash sha512, clicando nos seguintes endereços: 


Atualização no Microsoft Internet Explorer:

Passo 1: Clique aqui para baixar o certificado digital raiz da cadeia v2 ; 
Passo 2: Salve o arquivo em um diretório; 
Passo 3: Clique com o botão direito do mouse sobre o arquivo salvo; 
Passo 4: Escolha a opção 'Instalar Certificado' ou 'Install Certificate'; 
Passo 5: Responda às perguntas que aparecem para proceder a instalação; 
Passo 6: Clique aqui ou acesse a URL:, para baixar as cadeias v1, v2 e v3 
Passo 7: Repita os passos 2 ao 5 acima descritos para finalizar a instalação das cadeias. 

Caso seja de interesse, antes da instalação, verifique a veracidade do arquivo (v1_v2_v3_msie.p7b) por meio do hash sha512, que pode ser conferido através da URL:

Atualização no Adobe Acrobat Reader (10.x ou superior): 

Passo 1 : Clique aqui ou acesse a URL:.

Passo 2: Salve o documento em algum diretório no seu computador.

Passo 3: Abra o programa Adobe Acrobat Reader;

Passo 4: Vá no link "Editar" no menu superior do Adobe Acrobat Reader;

Passo 5: Clique em Proteção e depois em "Importar Configurações de Segurança";

Passo 6: Selecione o documento gravado no Passo 2, arquivo de nome :"ICP-Brasil.acrobatsecuritysettings";

Passo 7: Pronto! O Adobe Reader está configurado para validar documentos assinados com certificados ICP Brasil. Caso seja de interesse, antes da instalação, verifique a veracidade dos arquivos por meio do hash sha512, que pode ser conferido através da URL:


Repositório da AC Raiz












Artefatos de Assinatura Digital - Emitdos em 13/09/2013


Caso você tenha alguma dificuldade no procedimento, entre em contato com comunicacao@iti.gov.br 
Fonte ITI

APROVADA A CRIAÇÃO DA ACT-SERPRO


APROVADA A CRIAÇÃO DA ACT-SERPRO
16/10/2013 16:31

O Instituto Nacional de Tecnologia da Informação – ITI publicou no Diário Oficial da União – DOU de hoje, 15 de outubro, despacho do diretor-presidente do Instituto, Renato Martini, que credencia a a Autoridade de Carimbo do Tempo – ACT do Serviço Federal de Processamento de Dados – Serpro.

A processo de acreditação da ACT-Serpro, nº 00100.000036/2013-98, foi feito pela diretoria de Auditoria, Fiscalização e Normalização do ITI, que manisfestou concordância com os termos da Auditoria pré-operacional realizada.

O carimbo do tempo é um documento eletrônico emitido por uma parte confiável, que serve como evidência de que uma informação digital existia numa determinada data e hora no passado. A regulamentação do carimbo de tempo da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil já foi aprovada pelo Comitê Gestor da ICP-Brasil. Há um conjunto de DOCs vigentes que regulamentam o tema, a saber: DOC-ICP-11, 12, 13 e 14.

Fonte ITI

Brasil precisa da Internet mais segura, confiável e transparente.


Regina Tupinambá
Autora do
 Blog certificação Digital
Ontem quando li no twitter a notícia -  @SERPRO: Uso de e-mail seguro torna-se obrigatório em todo o Governo Federal: http://va.mu/dMjJ " eu estava no táxi acessando a rede pelo meu celular. 

Ao clicar no link veio a mensagem de que eu estava acessando uma página insegura. 

Isso é incrível! Esse aviso é exibido aos visitantes que acessam sites protegidos pelos certificados digitais SSL da cadeia ICP Brasil, entre eles, os sites do Governo Federal. 

Isso acontece quando os visitantes não têm instada a cadeia de certificação digital dessa hierarquia.

É claro que nas máquinas que eu acesso possuem todas as cadeias instaladas da ICP Brasil, o que não é o usual para 90% dos brasileiros.

Muito simplificadamente, vou explicar por que as cadeias da ICP Brasil não são reconhecidas pela maioria dos navegadores.

É um dos requisito de praxe entre as empresas internacionais de software reconhecerem apenas as cadeias de Autoridades Certificadora que são auditadas por empresas internacionais de renome, entre elas posso citar a Webtrust. O governo brasileiro até agora não tinha contratado esse tipo de auditoria internacional por vários fatores inerentes à política interna que não vem ao caso. Outros países também adotam essa mesma política e por conseguinte também não têm suas raízes instaladas nos softwares e navegadores. Recentemente parece que o ITI - Instituo Nacional da tecnologia da Informação, reviu essa política e contratou uma auditoria internacional. Então, esse problema pode ser resolvido, mas não tenho conhecimento desse prazo.

Não ter a raiz (root) instalada nos navegadores significa que o certificado digital SSL que protege o site não é reconhecido e então os visitantes são automaticamente alertados de que o site não é seguro.

Isso para o site de qualquer empresa é ruim, mas para os sites do governo federal é péssimo!

O que fazer?

Primeiro contratar a auditoria internacional e agilizar a instalação da Raiz ICP Brasil nos principais navegadores. Mesmo porque, não existe segredos nos procedimentos de uma Autoridade Certificadora, todos os seus processos estão descritos em detalhes, em sua DPC – Declaração de Práticas de Certificação. Leia O que é DPC

Outra providência imediata seria disponibilizar aos usuários brasileiros a instalação das cadeias da ICP Brasil de forma automática. Como? Com uma campanha de divulgação em massa na própria internet, principalmente nos sites do governo. Muito simples e que requer pouco investimento.

No mínimo, o site deveria exibir uma explicação sobre esse aviso e oferecer a instalação das cadeias.

Se você não tem as cadeias da ICP Brasil instaladas em sua máquina acesse o link a seguir e faça a instalação. Atualização de Navegadores e Visualizadores de Arquivos.

O que eu não entendo é como os gestores dos sites que utilizam os certificados SSL ICP Brasil não tomam nenhuma providência a respeito.  Criam um desconforto e deixam aos visitantes totalmente desinformados e inseguros.

Particularmente sou fã número um dos certificados SSL ICP BRASIL. Quem convive comigo sabe disso. Acho que todos os sites que se dirigem a população brasileira sejam para o e-commerce, comunicação, institucional, deveriam ter um certificado digital SSL ICP Brasil instalado e exibir um selo de site verificado por uma autoridade certificadora da hierarquia da ICP Brasil, consequentemente, auditada pelo governo Brasileiro. Pelos menos todos os domínios ponto BR deveriam ter um certificado digital SSL ICP Brasil.

Claro que os sites que não queriam aderir à essas normas migrarão para domínios de outros países, mas ai caberá à própria população administrar os riscos de acessar sites falsos ou que não têm por trás empresários sérios.

Defendo essa ideia por que dessa forma o governo proveria mais transparência à população ao sinalizar sites confiáveis. Sinto-me muito a vontade para falar isso nesse momento por que não trabalho mais em uma Autoridade Certificadora, portanto, não defendo nenhum interesse comercial e sim no que acredito ser o adequado em benefício de uma internet mais segura, confiável e transparente.


segunda-feira, 14 de outubro de 2013

PASSAPORTE ELETRÔNICO: Entenda

PASSAPORTE ELETRÔNICO TEM DESTAQUE EM REUNIÃO DO COMITÊ GESTOR DA ICP-BRASIL

O passaporte eletrônico foi o tema de destaque no CG ICP-Brasil

Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira CG ICP-Brasil reuniu-se mais uma vez na última quarta-feira, 9, na sede do Instituto Nacional de Tecnologia da Informação – ITI, em Brasília-DF. A reunião teve como pauta a Autoridade Certificadora do Ministério das Relações Exteriores – AC-MRE e o passaporte eletrônico brasileiro, a proposta de resolução sobre homologação de produtos que fazem parte do Sistema Nacional de Certificação Digital e a minuta de resolução que obriga as Autoridades de Registro – ARs a notificarem a autoridade policial em casos de tentativas de fraude.

Antes de inciar os debates sobre a pauta estabelecida, o diretor da Infraestrutura de Chaves Públicas, Maurício Coelho, fez uma breve explanação a cerca dos algoritmos e hashs que fazem parte do sistema da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, visto que o tema tornou-se notório após o caso Snowden. Coelho destacou que a ICP-Brasil tem segurança robusta e tecnologia avançada, por isso, não corre riscos. Além disso, destacou o possível uso do padrão criptográfico de curvas elípticas na ICP-Brasil, tecnologia mais segura que o RSA.

Passaporte Eletrônico

O passaporte eletrônico foi o tema de maior destaque na reunião. O assunto, de grande relevância para o Governo Brasileiro, já foi debatido em outros momentos pelo Comitê, como recordou o secretário-executivo do CG ICP-Brasil, Renato Martini. “Já tivemos a oportunidade de debater a necessidade da aprovação do certificado auto-assinado e da alteração no tempo de validade do certificado A4 para possibilitar o passaporte eletrônico com certificação digital ICP-Brasil”, lembrou Martini.

O secretário-executivo passou a palavra o diplomata do Ministério das Relações Exteriores - MRE, Eduardo Rosannah, que apresentou o passaporte eletrônico e quais as modificações necessárias para adequação do documento nacional ao padrão PKD (Public Key Directory), que segue as normas internacionais de segurança estabelecidas pela organização de Aviação Civil Internacional – ICAO, agência ligada às Nações Unidas.

Rosannah destacou a segurança do sistema nacional de emissão de documentos consulares, que não é exclusivo para emissão de passaporte, mas emite todo o documento consular fora do Brasil. Segundo o ministro, o sistema é robusto e tem despertado interesse de inúmeros países. “Temos um sistema muito eficiente e seguro. O que queremos agora é que ele seja reconhecido. Para isso, precisamos que se adeque às normas estabelecidas pela ICAO”, afirmou o diplomata.

Para proporcionar essa adequação, foram aprovadas, pelo Comitê, as seguintes proposições: a que torna o DistinguishedName do certificado auto-assinado o mesmo que o da Autoridade Certificadora – AC, que emitirá o passaporte eletrônico e a proposta que aumenta para 11 anos a validade do certificado digital A4, de forma a possibilitar a assinatura de passaportes com validade de 10 anos. Para viabilizar o certificado com duração de 11 anos, foi aprovado também, que o certificado da AC-Raiz passe a ter duração de 20 anos, desde que toda essa cadeia seja em curvas elípticas.

“A aprovação dessas resoluções foi de fundamental importância. O passaporte é uma aplicação da ICP-Brasil em algo que o cidadão brasileiro vai se beneficiar diretamente. Agora, com a compatibilidade técnica firmada entre ICP-Brasil e o PKD da ICAO, o cidadão brasileiro vai poder passar pelos postos de migração de todo mundo de forma mais rápida e confortável”, destacou Coelho.

Segurança e Homologação na ICP-Brasil

Em seguida, foi apresentada novamente ao Comitê a proposta de resolução que trata da transferência do modelo de homologações atual, feito pelo Laboratório de Ensaios e Auditória – LEA do ITI, para o modelo do Instituto Nacional de Metrologia, Qualidade e Tecnologia – Inmetro. Após a atualização do tema, feita pelo assessor técnico do ITI, Ruy Ramos, foram abertos os debates, e, ficou acordado que os conselheiros do CG ICP-Brasil terão uma semana para debruçar-se sobre a resolução e manifestar o voto, por e-mail, em relação a questão.

Por fim, o procurador federal chefe do ITI, André Garcia, apresentou uma das propostas que surgiram no Grupo de Combate a Fraudes. A minuta de resolução define que ao sofrer uma tentativa de fraude, a Autoridade de Registro – AR deve comunicar o fato a autoridade policial. De acordo com o procurador, esse é o momento de aperfeiçoar a estrutura da ICP-Brasil com o objetivo de aprimorar ainda mais a segurança oferecida. A proposta foi bem aceita pelo Comitê, que estudará melhor a pauta, e possivelmente, na próxima reunião, dará parecer sobre o assunto

Fonte ITI

PJ-e assista o vídeo do CSJT.


Fonte: http://www.csjt.jus.br/

Lei regulamenta processo eletrônico na esfera administrativa




Entre os assuntos tratados na conversão da MP 615 na Lei 12.865, que foi publicada na edição desta quinta-feira (10/10) do Diário Oficial da União, está a regulamentação do processo eletrônico na esfera administrativa. O artigo 24 da Lei 12.865 altera o Decreto 70.235 e dá aos contribuintes o direito de entregar exclusivamente por via eletrônica os documentos que instruem o processo. Até a edição da lei, algumas delegacias exigiam a entrega tanto de forma eletrônica como por meio físico.

A lei modifica o artigo 2º do Decreto 70.235, permitindo que os atos e termos processuais sejam “formalizados, tramitados, comunicados e transmitidos em formato digital”. Além disso, oficializa a possibilidade de digitalização dos documentos que instruem o processo. A lei cria o artigo 64-B do Decreto 70.235, permitindo que os atos, documentos e termos sejam “natos digitais ou produzidos por meio de digitalização”. Em seu parágrafo 1º, o mesmo artigo dá aos atos, termos e documentos digitalizados e armazenados eletronicamente “o mesmo valor probante de seus originais”.

O advogado e professor Heleno Torres aponta que a frase garante aos contribuintes uma segurança jurídica que não era possível até a edição da Lei 12.865. Somam-se a isso o fato de a nova redação acabar com a exclusividade do papel como forma probatória e a conotação, para efeito jurídico, de documento para o material eletrônico, aponta Heleno.

A advogada Carolina Neves Nunes, que atua na área cível do Ávila, Nogueira e Miguel Neto Advogados, afirma que as alterações no Decreto 70.235 são consequência da evolução dos dispositivos de armazenamento de dados. Ela lembra que a redação anterior do artigo 2º, parágrafo único, do mesmo decreto, dada pela Lei 11.196/2005, já previa a prática de forma eletrônica, mas apontava a possibilidade de encaminhamento dos dados por disquete, item obsoleto atualmente.

Carolina diz que, como não torna o uso do meio digital obrigatório, o artigo 24 da Lei 12.865 não inviabiliza que os atos sejam praticados em meio físico na esfera administrativa. No entanto, a mudança confirma a tendência de estimular o meio eletrônico e reduzir o apelo à utilização do papel, tanto pelos órgãos julgadores como pelas partes. Já Heleno Torres diz que o processo eletrônico deve ser priorizado também na esfera administrava, mas a nova lei é um incentivo, sem “contemplar a liberdade que o texto parecer sugerir”.

Daniele Cristiane Festa, sócia do Trigueiro Fontes Advogados, informou que, na esfera judicial, o processo eletrônico garante agilidade e facilidade tanto para os advogados como para as partes, reduzindo o tempo de espera por diligências burocráticas. Para ela, é possível esperar que o mesmo ocorra na esfera administrativa, principalmente em casos fiscais, com expectativa de redução no tempo de tramitação do processo e na burocracia que envolve os casos.

O artigo 24 da lei tem a seguinte redação:

Art. 24. O Decreto 70.235, de 6 de março de 1972, passa a vigorar com as seguintes alterações:
“Art. 2o .........................................................................
Parágrafo único. Os atos e termos processuais poderão ser formalizados, tramitados, comunicados e transmitidos em formato digital, conforme
disciplinado em ato da administração tributária.” (NR)
“Art. 64-A. Os documentos que instruem o processo poderão ser objeto de digitalização, observado o disposto nos arts. 1o e 3o da Lei no 12.682, de 9 de julho de 2012.”
“Art. 64-B. No processo eletrônico, os atos, documentos e termos que o instruem poderão ser natos digitais ou produzidos por meio de digitalização, observado o disposto na Medida Provisória no 2.200-2, de 24 de agosto de 2001.
§ 1o Os atos, termos e documentos submetidos a digitalização pela administração tributária e armazenados eletronicamente possuem o mesmo valor probante de seus originais.
§ 2o Os autos de processos eletrônicos, ou parte deles, que tiverem de ser remetidos a órgãos ou entidades que não disponham de sistema compatível de armazenagem e tramitação poderão ser encaminhados impressos em papel ou por meio digital, conforme disciplinado em ato da administração tributária.”

Clique aqui para ler a Lei 12.865
Clique aqui para ler o Decreto 70.235.